Forwarded from IT-Мемасы от Эникея
И нет GIMP не является хорошей заменой, это пользовательский интерфейс отстой до такой степени, что он непригоден для использования.
😗 @itmemas
Please open Telegram to view this post
VIEW IN TELEGRAM
😁42🌚12🤣2👍1
В RustFS выявлен предопределённый в коде токен доступа
В распределенном S3-совместимом хранилище RustFS обнаружили критическую уязвимость CVE-2025-68926 с рейтингом 9,8 балла, напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение "rustfs rpc". По умолчанию RustFS принимает gRPC-запросы на TCP-порту 9000 на всех сетевых интерфейсах. Токен присутствовал в коде сервера и клиента.
Фактически любой желающий мог подключиться к дефолтному порту 9000 и получить полный контроль над кластером без ввода реальных учетных данных, после чего злоумышленник волен удалять данные, менять конфигурацию и управлять пользователями.
Уязвимость устранена в выпуске RustFS 1.0.0-alpha.77.
Linux / Линукс🎄
В распределенном S3-совместимом хранилище RustFS обнаружили критическую уязвимость CVE-2025-68926 с рейтингом 9,8 балла, напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение "rustfs rpc". По умолчанию RustFS принимает gRPC-запросы на TCP-порту 9000 на всех сетевых интерфейсах. Токен присутствовал в коде сервера и клиента.
Фактически любой желающий мог подключиться к дефолтному порту 9000 и получить полный контроль над кластером без ввода реальных учетных данных, после чего злоумышленник волен удалять данные, менять конфигурацию и управлять пользователями.
Уязвимость устранена в выпуске RustFS 1.0.0-alpha.77.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣28❤5
Please open Telegram to view this post
VIEW IN TELEGRAM
😁62❤4🌚4👍2
Несколько способов обхода изоляции FreeBSD jail
На конференции 39C3 (Chaos Communication Congress) представлен доклад с результатами исследования защищённости механизма FreeBSD jail. Авторам исследования удалось выйти за пределы Jail и скомпрометировать хост, при условии, что у атакующего есть root-права внутри Jail. На GitHub опубликован код 5 прототипов эксплоитов, использующих для выхода из Jail уязвимости в ipfilter, dummynet, carp и ipfw, проявляющиеся во FreeBSD 14.3-RELEASE. Всего в ходе исследования выявлено около 50 проблем с безопасностью в ядре FreeBSD, для части из которых подготовлены патчи с исправлениями.
Основные выводы в конце доклада:
▪️ Современные операционные системы крайне сложны и появление в них ошибок неизбежно.
▪️ Большая часть проанализированного кода написана в 1990-х годах и давно не подвергалась аудиту.
▪️ Большая часть выявленных уязвимостей связана с ошибками при низкоуровневой работе с памятью, которых можно было бы избежать, применяя современные языки, например, Rust.
Linux / Линукс🎄
На конференции 39C3 (Chaos Communication Congress) представлен доклад с результатами исследования защищённости механизма FreeBSD jail. Авторам исследования удалось выйти за пределы Jail и скомпрометировать хост, при условии, что у атакующего есть root-права внутри Jail. На GitHub опубликован код 5 прототипов эксплоитов, использующих для выхода из Jail уязвимости в ipfilter, dummynet, carp и ipfw, проявляющиеся во FreeBSD 14.3-RELEASE. Всего в ходе исследования выявлено около 50 проблем с безопасностью в ядре FreeBSD, для части из которых подготовлены патчи с исправлениями.
Основные выводы в конце доклада:
▪️ Современные операционные системы крайне сложны и появление в них ошибок неизбежно.
▪️ Большая часть проанализированного кода написана в 1990-х годах и давно не подвергалась аудиту.
▪️ Большая часть выявленных уязвимостей связана с ошибками при низкоуровневой работе с памятью, которых можно было бы избежать, применяя современные языки, например, Rust.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🌚4
Появился форк KDE 1 для современных систем MiDesktop
Представлен экспериментальный проект MiDesktop, форк классической среды рабочего стола KDE 1.1.2, адаптированный для работы на современных дистрибутивах. Код портирован на фреймворк Qt 2, который также поддерживается в рамках родственного проекта Osiris.
Цель MiDesktop сохранить минималистичный дух десктопов конца 90-х, избавившись от присущих тому времени недостатков, но не добавляя избыточной функциональности. Проект позиционируется как лёгкий и быстрый, совместимый с X11 (включая XWayland).
Пока что MiDesktop остаётся в ранней стадии: есть проблемы с работой Firefox/Chrome, многомониторными конфигурациями и конфигуратором KDE Control Center. Однако планы у разработчиков амбициозные, а именно портирование на Wayland, обновление KDM и адаптация классических приложений KDE вроде KWrite и KCalc.
Linux / Линукс🎄
Представлен экспериментальный проект MiDesktop, форк классической среды рабочего стола KDE 1.1.2, адаптированный для работы на современных дистрибутивах. Код портирован на фреймворк Qt 2, который также поддерживается в рамках родственного проекта Osiris.
Цель MiDesktop сохранить минималистичный дух десктопов конца 90-х, избавившись от присущих тому времени недостатков, но не добавляя избыточной функциональности. Проект позиционируется как лёгкий и быстрый, совместимый с X11 (включая XWayland).
Пока что MiDesktop остаётся в ранней стадии: есть проблемы с работой Firefox/Chrome, многомониторными конфигурациями и конфигуратором KDE Control Center. Однако планы у разработчиков амбициозные, а именно портирование на Wayland, обновление KDM и адаптация классических приложений KDE вроде KWrite и KCalc.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔22👍16🤣6❤5
Участники команды Debian Data Protection Team сложили полномочия
Андреас Тилле, лидер проекта Debian, опубликовал отчёт, в котором упомянул о проблемах в команде Data Protection Team - три представителя, работавших в данной команде, одновременно сложили с себя полномочия. В качестве причины ухода упоминается отсутствие возможности и энтузиазма продолжать работу. Команда осталась без участников и проект срочно ищет добровольцев их замещения.
Команда Data Protection Team была создана в 2018 году для координации соблюдения европейского законодательства в области защиты данных (GDPR), реагирования на запросы о хранимых проектом данных, консультирования разработчиков Debian по вопросам обработки персональных данных и улучшения политики конфиденциальности. Желающие присоединиться участники должны иметь практические знания в области защиты данных и понимание требований GDPR.
Linux / Линукс🎄
Андреас Тилле, лидер проекта Debian, опубликовал отчёт, в котором упомянул о проблемах в команде Data Protection Team - три представителя, работавших в данной команде, одновременно сложили с себя полномочия. В качестве причины ухода упоминается отсутствие возможности и энтузиазма продолжать работу. Команда осталась без участников и проект срочно ищет добровольцев их замещения.
Команда Data Protection Team была создана в 2018 году для координации соблюдения европейского законодательства в области защиты данных (GDPR), реагирования на запросы о хранимых проектом данных, консультирования разработчиков Debian по вопросам обработки персональных данных и улучшения политики конфиденциальности. Желающие присоединиться участники должны иметь практические знания в области защиты данных и понимание требований GDPR.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚15❤6🫡4👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁71🌚7🤬2🫡2
Linux / Линукс
Тир-лист всех дистрибутивов Linux / Линукс 🎄
Please open Telegram to view this post
VIEW IN TELEGRAM
😁68👍4💔4😢3
GNOME и Firefox намерены отключить по умолчанию вставку средней кнопкой мыши
В GNOME и Firefox предложены изменения, отключающие по умолчанию одну из полезных функций графических окружений в Linux - возможность быстрой вставки содержимого буфера обмена (PRIMARY selection) нажатием средней кнопки мыши. Изменения находятся на стадии рецензирования и пока окончательно не утверждены.
В качестве причины отключения разработчики Firefox упоминают непривычность данной возможности для новичков, которых приводит в замешательство случайное нажатие на колесо мыши. В качестве аргумента также упоминается wiki-страница на сайте freedesktop. org, в которой утверждается, что нормальное поведение при работе с буфером обмена в Linux соответствует поведению Windows и macOS, а вставка средней кнопкой мыши преподносится как «пасхальное яйцо» для опытных пользователей. В случае принятия изменения пользователям Firefox придётся вручную менять значение параметра "middlemouse.paste" на странице about:config.
Мотивом отключения вставки средней кнопкой мыши в GNOME является желание избавиться от специфичных возможностей X11 (в Wayland данная функция также поддерживается), приводящих к неожиданному поведению для пользователей других платформ и обычно используемых случайно. Предполагается, что пользователи, которым вставка средней кнопкой важна смогут вернуть её поддержку через изменение настроек командой "gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true".
Что думаете об этом возможном изменении?
🤬 — Функция часто срабатывает случайно и раздражает.
💔 — Лучше бы не трогали.
Linux / Линукс🥸
В GNOME и Firefox предложены изменения, отключающие по умолчанию одну из полезных функций графических окружений в Linux - возможность быстрой вставки содержимого буфера обмена (PRIMARY selection) нажатием средней кнопки мыши. Изменения находятся на стадии рецензирования и пока окончательно не утверждены.
В качестве причины отключения разработчики Firefox упоминают непривычность данной возможности для новичков, которых приводит в замешательство случайное нажатие на колесо мыши. В качестве аргумента также упоминается wiki-страница на сайте freedesktop. org, в которой утверждается, что нормальное поведение при работе с буфером обмена в Linux соответствует поведению Windows и macOS, а вставка средней кнопкой мыши преподносится как «пасхальное яйцо» для опытных пользователей. В случае принятия изменения пользователям Firefox придётся вручную менять значение параметра "middlemouse.paste" на странице about:config.
Мотивом отключения вставки средней кнопкой мыши в GNOME является желание избавиться от специфичных возможностей X11 (в Wayland данная функция также поддерживается), приводящих к неожиданному поведению для пользователей других платформ и обычно используемых случайно. Предполагается, что пользователи, которым вставка средней кнопкой важна смогут вернуть её поддержку через изменение настроек командой "gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true".
Что думаете об этом возможном изменении?
🤬 — Функция часто срабатывает случайно и раздражает.
💔 — Лучше бы не трогали.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
💔113🤬35☃9👍4
Forwarded from Между инцидентами
Как продебажить сеть в контейнере если в нём не хватает утилит?
Иногда слышу вопросы от коллег типа: "Как выполнить какой-нибудь запрос из контейнера, если в нём нет curl?". Или: "Как снять дамп из контейнера, если в нём нет tcpdump?".
Есть один очень простой способ, как выполнить любую команду внутри сети контейнера. Единственное, что вам понадобится, это доступ с root-правами к хосту.
1. Находим PID процесса контейнера. Обычно для этого достаточно выполнить
2. Заходим в сетевой неймспейс этого процесса через команду
Всё. Можете проверить, что вы там, где нужно, введя команду
Это очень полезный метод, когда вам либо самим нужно что-то проверить, либо когда нужно доказательство клиенту, что с трафиком из контейнера 100% всё порядке.
Между инцидентами
Реклама. Давыдов И.А. ИНН 775108336633. erid: 2W5zFGaTMax
Иногда слышу вопросы от коллег типа: "Как выполнить какой-нибудь запрос из контейнера, если в нём нет curl?". Или: "Как снять дамп из контейнера, если в нём нет tcpdump?".
Есть один очень простой способ, как выполнить любую команду внутри сети контейнера. Единственное, что вам понадобится, это доступ с root-правами к хосту.
1. Находим PID процесса контейнера. Обычно для этого достаточно выполнить
ps aux | grep "команда запуска вашего контейнера", но если контейнеров запущенной одной и той же командой на хосте много, то лучше воспользоваться CLI вашего рантайма (типа crictl) для опредленя PID'а нужного контейнера. 2. Заходим в сетевой неймспейс этого процесса через команду
nsenter -n -t $PID, где -n значит network. Всё. Можете проверить, что вы там, где нужно, введя команду
ip a.Это очень полезный метод, когда вам либо самим нужно что-то проверить, либо когда нужно доказательство клиенту, что с трафиком из контейнера 100% всё порядке.
Между инцидентами
Реклама. Давыдов И.А. ИНН 775108336633. erid: 2W5zFGaTMax
❤11
Код Android теперь будут выкатывать только два раза в год
Google решил серьезно замедлить публичный конвейер AOSP (Android Open Source Project). Вместо ежеквартальных обновлений код платформы теперь будут публиковать всего дважды в год во втором и четвертом кварталах.
Вместо непрерывно обновляемой ветки aosp-main для разработки и сборок теперь рекомендуют использовать новую ветку android-latest-release, которая будет отражать код последнего стабильного релиза Android. Изменение не повлияет на публикацию патчей с устранением уязвимостей, которые продолжат раз в месяц размещаться в ветках "android-security".
В качестве причин изменения упоминается желание обеспечить стабильность платформы для экосистемы Android и привести AOSP к модели разработки trunk-stable, что позволит упростить разработку Android, избавиться от необходимости поддержания нескольких веток и предоставить сторонним разработчикам более стабильный и безопасный код.
В прошлом году Google перешла к разработке релизов за закрытыми дверями без публикации в AOSP промежуточных результатов.
Это проблема в первую очередь для простых смертных и проектов энтузиастов. Все крупные компании типа Samsung, Xiaomi, OnePlus и так далее, получают исходники напрямую, а пострадают кастомные прошивки типа Graphene OS, Lineage OS и т.д.
Linux / Линукс🥸
Google решил серьезно замедлить публичный конвейер AOSP (Android Open Source Project). Вместо ежеквартальных обновлений код платформы теперь будут публиковать всего дважды в год во втором и четвертом кварталах.
Вместо непрерывно обновляемой ветки aosp-main для разработки и сборок теперь рекомендуют использовать новую ветку android-latest-release, которая будет отражать код последнего стабильного релиза Android. Изменение не повлияет на публикацию патчей с устранением уязвимостей, которые продолжат раз в месяц размещаться в ветках "android-security".
В качестве причин изменения упоминается желание обеспечить стабильность платформы для экосистемы Android и привести AOSP к модели разработки trunk-stable, что позволит упростить разработку Android, избавиться от необходимости поддержания нескольких веток и предоставить сторонним разработчикам более стабильный и безопасный код.
В прошлом году Google перешла к разработке релизов за закрытыми дверями без публикации в AOSP промежуточных результатов.
Это проблема в первую очередь для простых смертных и проектов энтузиастов. Все крупные компании типа Samsung, Xiaomi, OnePlus и так далее, получают исходники напрямую, а пострадают кастомные прошивки типа Graphene OS, Lineage OS и т.д.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬69🤔8❤4👍2💔2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁55❤3
Loss32 - Windows-подобная система, похожая на ReactOS, но на ядре Linux
Проект Loss32 развивает дистрибутив Win32/Linux, сочетающий ядро Linux с графическим окружением в стиле Windows, построенным на основе Wine и пользовательских компонентов ReactOS. Дистрибутив ориентирован на воссоздание среды рабочего стола Windows и предоставление средств для бесшовного запуска Windows-приложений, но при этом поддерживает и запуск традиционных Linux-программ. Первый прототип Loss32 планируют опубликовать в этом месяце.
По своим целям проект очень близок к ReactOS и также пытается воссоздать операционную систему в стиле Windows, но отличается от него отказом от использования ядра Windows NT. По мнению создателей Loss32 основным фактором, тормозящим разработку ReactOS, является попытка создания собственного аналога ядра Windows NT, что не позволяет добиться должной поддержки оборудования, стабильности и функциональности. В Loss32 решено сосредоточить усилия на создании среды запуска Windows-приложений, используя системное окружение на основе хорошо работающих Debian 13 и Wine.
В отличие от традиционных дистрибутивов Linux в Loss32 компоненты пространства пользователя по возможности заменены на Wine, а среда рабочего стола базируется на приложениях и библиотеках Win32, таких как explorer.exe и shell32.dll от Wine и проекта ReactOS. В качестве композитного менеджера задействован Mutter. Оформление стилизовано под классический интерфейс Windows, применяемый с конца 1990-х по начало 2010-х годов. Система позволяет загружать и запуска exe-файлы с Windows программами, так как это делается в Windows.
Как считаете, нужно такое в Линуксе?
Linux / Линукс🥸
Проект Loss32 развивает дистрибутив Win32/Linux, сочетающий ядро Linux с графическим окружением в стиле Windows, построенным на основе Wine и пользовательских компонентов ReactOS. Дистрибутив ориентирован на воссоздание среды рабочего стола Windows и предоставление средств для бесшовного запуска Windows-приложений, но при этом поддерживает и запуск традиционных Linux-программ. Первый прототип Loss32 планируют опубликовать в этом месяце.
По своим целям проект очень близок к ReactOS и также пытается воссоздать операционную систему в стиле Windows, но отличается от него отказом от использования ядра Windows NT. По мнению создателей Loss32 основным фактором, тормозящим разработку ReactOS, является попытка создания собственного аналога ядра Windows NT, что не позволяет добиться должной поддержки оборудования, стабильности и функциональности. В Loss32 решено сосредоточить усилия на создании среды запуска Windows-приложений, используя системное окружение на основе хорошо работающих Debian 13 и Wine.
В отличие от традиционных дистрибутивов Linux в Loss32 компоненты пространства пользователя по возможности заменены на Wine, а среда рабочего стола базируется на приложениях и библиотеках Win32, таких как explorer.exe и shell32.dll от Wine и проекта ReactOS. В качестве композитного менеджера задействован Mutter. Оформление стилизовано под классический интерфейс Windows, применяемый с конца 1990-х по начало 2010-х годов. Система позволяет загружать и запуска exe-файлы с Windows программами, так как это делается в Windows.
Как считаете, нужно такое в Линуксе?
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔37🤣18👍10🔥5🤬2
Cреднее время обнаружения ошибок ядре Linux - 2 года
Исследование 125 тысяч исправлений в ядре Linux показало, что среднее время обнаружения ошибок составляет 2.1 года. Для ошибок, исправленных в 2025 году, этот срок вырос до 2.8 лет. Хотя более половины (56.9%) ошибок находят и устраняют в течение первого года, значительная часть (13.5%) остаётся в коде дольше пяти лет.
А теперь к деталям. Так, время обнаружения сильно зависит от типа ошибки и подсистемы. Например, наиболее коварные состояния гонки (race conditions) остаются незамеченными в среднем 5.1 года. В то же время, ошибки в современных активно развиваемых подсистемах, таких как BPF, находят быстрее, в среднем за 1.1 год.
Значительное влияние на улучшение ситуации оказывают автоматизированные инструменты поиска уязвимостей (Syzkaller, KASAN и др.). Если в 2010 году ни одной ошибки не нашли в течение года с момента её внесения, то к 2022 году этот показатель вырос до 69%. Данные исследования также использовали для обучения модели VulnBERT, которая с высокой точностью (92.2%) предсказывает наличие уязвимостей в новых коммитах.
Linux / Линукс🥸
Исследование 125 тысяч исправлений в ядре Linux показало, что среднее время обнаружения ошибок составляет 2.1 года. Для ошибок, исправленных в 2025 году, этот срок вырос до 2.8 лет. Хотя более половины (56.9%) ошибок находят и устраняют в течение первого года, значительная часть (13.5%) остаётся в коде дольше пяти лет.
А теперь к деталям. Так, время обнаружения сильно зависит от типа ошибки и подсистемы. Например, наиболее коварные состояния гонки (race conditions) остаются незамеченными в среднем 5.1 года. В то же время, ошибки в современных активно развиваемых подсистемах, таких как BPF, находят быстрее, в среднем за 1.1 год.
Значительное влияние на улучшение ситуации оказывают автоматизированные инструменты поиска уязвимостей (Syzkaller, KASAN и др.). Если в 2010 году ни одной ошибки не нашли в течение года с момента её внесения, то к 2022 году этот показатель вырос до 69%. Данные исследования также использовали для обучения модели VulnBERT, которая с высокой точностью (92.2%) предсказывает наличие уязвимостей в новых коммитах.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🤔6💔6🤯2😢1
Gentoo опубликовал отчёт за 2025 год
Финансово фонд Gentoo Foundation получил 12 066 долларов, в основном за счёт пожертвований, при этом расходы (21 036 долларов) незначительно превысили доходы, что привело к небольшому уменьшению баланса.
Заметно снизилась активность разработки, например, число коммитов в основной репозиторий сократилось на 9%, а вклад сторонних участников на 27%. При этом нагрузка на систему отслеживания ошибок остаётся высокой (за год было решено более 22 тысяч проблем). Проект продолжает поддерживать огромный портфель из более чем 19 тысяч пакетов, общий размер бинарных сборок для x86-64 достиг 89 ГБ.
Среди важных технических инициатив - подготовка к переходу с GitHub на Codeberg (Forgejo) из-за несогласия с навязыванием Copilot, введение новой спецификации EAPI 9 для ebuild-сценариев, улучшение поддержки альтернативных библиотек (musl-locales, zlib-ng) и добавление официальных образов для WSL и облачных сред. Также был запущен новый сборочный сервер для ускорения процессов.
Linux / Линукс🥸
Финансово фонд Gentoo Foundation получил 12 066 долларов, в основном за счёт пожертвований, при этом расходы (21 036 долларов) незначительно превысили доходы, что привело к небольшому уменьшению баланса.
Заметно снизилась активность разработки, например, число коммитов в основной репозиторий сократилось на 9%, а вклад сторонних участников на 27%. При этом нагрузка на систему отслеживания ошибок остаётся высокой (за год было решено более 22 тысяч проблем). Проект продолжает поддерживать огромный портфель из более чем 19 тысяч пакетов, общий размер бинарных сборок для x86-64 достиг 89 ГБ.
Среди важных технических инициатив - подготовка к переходу с GitHub на Codeberg (Forgejo) из-за несогласия с навязыванием Copilot, введение новой спецификации EAPI 9 для ebuild-сценариев, улучшение поддержки альтернативных библиотек (musl-locales, zlib-ng) и добавление официальных образов для WSL и облачных сред. Также был запущен новый сборочный сервер для ускорения процессов.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22❤6🎅6